Votre IP : 54.158.55.5
Le : 20-10-2017. 11h02.
Sécuriser l'accès de votre ordinateur

Sécuriser l'accès de votre ordinateur

La sécurité :
On parle souvent de sécuriser son système d'exploitation par rapport à Internet, mais la sécurité c'est aussi l'accès physique à votre machine !

Il est impossible de protéger son système ou la machine si une personne a un accès physique à celle-ci. Tout au plus, on peut retarder le piratage, le vol d'information, la destruction de données ou même le vol du matériel.
Pas simple, effectivement, quelles sont les questions que l'on doit se poser afin de mieux se protéger ?

Nous allons tenter de faire un point sur ce qu'il est possible de faire dans ce domaine afin de mettre en place certaines restrictions qui retarderont les tentatives de piratage, la corruption des données, le vandalisme, etc..

Démarche de sécurisation

Dans une entreprise, la démarche de sécurisation commence par la rédaction d'une politique de sécurité, qui suppose d'avoir effectué auparavant un bilan de l'organisation et des processus de l'entreprise et une analyse des risques.
Ensuite vient la définition de l'architecture de sécurité, puis son implémentation, suivie au besoin par un audit de configuration et des tests d'intrusion.
Tout ceci, c'est le métier d'un administrateur réseau, il n'est pas question ici de donner des cours de sécurité à ces personnes, ce n'est pas l'objectif et ils sont même certainement plus qualifiés que moi sur le sujet.

Dans notre cas, celui d'un particulier, comme vous et moi, celui-ci devra définir ses besoins et ses risques !
Sans établir un cahier des charges, on peut cependant s'en inspirer afin d'optimiser la sécurité de nos données ou de notre matériel

Faire le point sur les valeurs existantes

- le coût de mon investissement matériel (carte mére, carte graphique "hors de prix", etc..)
- la valeur de mes données (documents, films, musiques, site personnel, base de données, etc..)
- la valeur de mes courriers, (contacts, agenda, boîte de messageries professionnelles, de particulier, etc.)
- de mes données confidentielles (banques, assurances, crédit, avocat, travail, etc.)
- pour les artisans, commerçants et autres PME, (comptabilité, devis, clients, etc..)
- coût de remise en place complète d'un système d'exploitation + les données (si vous n'avez pas oublié de les sauvegarder ! )

Les questions à se poser

- qui peut facilement accèder à mon ordinateur ?
- est-ce que je fais des lan/partie dans des endroits ouverts au public ?
- est-ce que mon pc est toujours allumé ?
- est-ce que mes documents suscitent un intérêt pour les gens ?
- est-ce que je suis dans un secteur faste pour les cambriolages ?

Les facteurs à risque

- les enfants (téléchargement de n'importe quoi sans votre autorisation, les copains qui viennent et qui pensent s'y connaître, etc..)
- votre entourage, la famille, les voisins, les amis (leurs incompétences, leurs compétences, leurs jalousies, leurs vengeances, etc..)
- vous ou moi, avec vos compétences, vos incompétences, vos bidouillages dans le système, les tweaks à gogo !!!
- Le cambriolage
- De vrais professionnels car vous détenez des informations capitales !

Dans la pratique, on a plus souvent à faire aux 2 premières catégories, la jalousie ou la vengeance sont souvent à l'origine du piratage fait par l'entourage, quand au cambriolage, c'est surtout de la faute à pas de chance !
Sans aller jusqu'aux extrêmes, un enfant qui a accès à votre ordinateur peut par méconnaissance supprimer un fichier vital de votre système d'exploitation !
Et là, c'est la catastrophe, faut tout refaire, perdu les données pas sauvegardées à moins de dépenser de l'argent dans des softs de récupération, etc..


Faire le point sur sa protection existante
- quelles sont les solutions déja mises en place ?
- coté matériel
- coté système
- mon pc est totalement ouvert de tous les cotés !
- je m'en fiche de la protection, "ca ne m'arrivera jamais", dans ce cas la lecture de cet article pour vous est terminée, allez plutot faire un tour sur le site de Mickey !

Pour les autres qui sont concernés, sans être paranoïaque, si les divers risques énumérés au-dessus existent dans votre environnement, il est temps d'analyser la situation et de trouver quelques solutions simples et souvent efficaces contre beaucoup de ces risques !

Ne vous inquiétez pas, je n'ai rien inventé, je donne juste quelques éléments de réponse trouvés par-ci par-là au hasard de mes promenades sur la toile, dont certains que j'applique à titre personnel quotidiennement.



Contrôle d'accès à l'ordinateur

Protection par le BIOS

Tout d'abord, c'est quoi le BIOS ? (Basic Input Output System) Ce programme se lance automatiquement au démarrage du PC. Il fait le lien entre le système d'exploitation et les sous-ensembles (disque dur, mémoire, lecteur de disquette, etc.). Il gère les paramètres techniques de votre configuration que vous pouvez éventuellement modifîer au démarrage.

Vous l'avez compris, Le BIOS est l'élément indispensable à tout type de démarrage

Pour accéder au BIOS, il faut appuyer sur la touche "DEL" ou "SUPPR" ou "ECHAP" juste au démarrage de votre machine (enfin, tout dépend de votre BIOS, renseignez-vous auprès du constructeur)

Dès que vous êtes dans le BIOS, pour vous déplacer, il faut utiliser les touches (haut, bas, gauche, droite) de votre clavier et ensuite appuyer sur la touche (Entrer) pour sélectionner une option

Bloquer tout type de démarrage sauf le disque dur

Ici, nous allons juste autoriser le démarrage sur le disque dur, l'objectif avoué est d'interdire toute sorte de démarrage en dehors du disque dur. Et oui, tellement facile de démarrer à partir d'une disquette de boot, d'un CD linux, etc.. pour copier, voler ou détruire le système.

En fonction de votre BIOS, il est possible de retrouver ces éléments à modifier à divers endroits :
- Advanced BIOS Features
- Boot -> Boot device Priority

Voici les modifications à mettre en oeuvre :
First Boot Device = HDD-0 (le disque maitre)
Second Boot Device = Disabled (si votre BIOS le permet)
Third Boot Device = Disabled (si votre BIOS le permet)
Boot Other device = Disabled (interdit de démarrer sur les ports USB, etc..)

On continue en interdisant le démarrage du système par le réseau

Ici, il faut chercher dans :
- Power Management Setup

Les options peuvent changer d'un BIOS à l'autre :
Wake Up Events = Disabled
Wake-Power Up = Disabled
Wake Up On LAN/Ring = Disabled

A ce stade on a bloqué le démarrage du système en laissant juste le démarrage sur le 1er disque dur, il faut maintenant configurer les options afin que personne ne modifie ce type de démarrage

Sécuriser le BIOS

En principe, ces options se trouvent dans : Security:
il existe 2 options distinctes :
- Interdire l'accès au démarrage du système par mot de passe
- Interdire l'accès à la configuration du BIOS par mot de passe

Interdire l'accès au démarrage du système par mot de passe

Cette option demande un mot de passe pour démarrer le système d'exploitation, après 3 tentatives infructueuses, la fenêtre de password se ferme et empèche le lancement du système. (retour à la case départ!)
Set User Password : inscrivez 2 fois le même mot de passe
Rien de compliqué, si ce n'est que de retenir le mot de passe (si vous n'avez pas d'idée pour mettre un mot de passe, lisez ceci.)

Interdire l'accès à la configuration du BIOS par mot de passe

Cette option demande un mot de passe pour accéder directement au BIOS, sans ce mot de passe, personne ne pourra venir modifier les options de démarrage du système
Set Admin Password : inscrivez 2 fois le même mot de passe
Et voilà, maintenant, avec ces 2 options, il faudra toujours inscrire un mot de passe à chaque fois que vous démarrerez votre PC ou que vous souhaitez modifier des options dans le BIOS

Bon, c'est bien beau tout cà, mais compte-tenu qu'une personne qui a un accès physique à la machine peut en moins de 5 minutes remettre le BIOS par défaut en ouvrant la tour et en faisant un Clear CMOS, (si cette personne est compétente). Et là malheureusement, terminé les mots de passe et le blocage de quoi que ce soit dans le BIOS !

Alors, que faire ?

Sécuriser l'unité centrale

Il faut sécuriser la tour (l'unité centrale).L'objectif est toujours le même, gagner du temps, il existe plusieurs possibilités pour sécuriser la tour, ca passe de la visserie, en passant par des serrures, voir même la fixation de la tour dans le meuble au carrément à même le sol.

C'est l'effet de surprise qui est déterminant ! Le voleur n'avait pas forcément pensé que votre machine était bien protégée

La visserie
Le fabriquant de boîtier Enermax a eu l'excellente idée de se poser la question suivante : Comment sécuriser le contenu des boîtiers? En réponse à cela, Enermax vous propose un kit antivol!

Simple et efficace, pour quelques Euros, on modifie le comportement du cambrioleur qui passe des couleurs "verte à rouge foncé". difficile de penser qu'il fallait venir avec un tournevis spécial :P
Juste avec ces simples vis, il devient plus difficile d'acceder au BIOS pour modifier les options.

Les antivols

On peut très bien trouver dans le commerce des serrures de type alarme qui conviennent parfaitement, dans ce cas, il faudra l'outillage nécessaire, d'ailleurs ce type de clé/serrure était courant dans les années 90 sur le matériel informatique!

     
serrure type alarme

Sinon, on trouve dans le commerce des spécialistes de la protection des ordinateurs : Vol Protect en fait partie, qui propose également des ensembles d'encadrement de la tour :

      

Vous êtes bricoleur, un cadenas bien placé plus quelques tire-fonds et chevilles devraient immobiliser la tour sans gréver votre budget -;)

Les antivols de portable

Les portables sont toujours convoités par les voleurs, facile à voler, facile à revendre, souvent le portable sert au travail et à la maison, d'où l'intérêt de bien le protéger (même à la maison)

      

Les cables renforcés fonctionnent parfaitement, surtout si vous utilisez votre portable dans des lieux ouverts au public.

A ce stade, en principe, si vous avez protégé les accès du BIOS ainsi que la protection de la tour, vous augmentez fortement vos chances de conserver vos données et votre matériel, ces quelques minutes supplémentaires pour accéder à vos données seront le garant de votre protection physique.

Voyons maintenant une autre alternative matériel...

Une autre alternative : le rack

Une autre façon de sécuriser ses données personnelles, c'est l'utilisation d'un rack.
Le rack est composé de 2 parties, le disque dur et la partie receptacle qui fera partie intégrante de la tour.(tout comme un auto-radio extractible)
L'avantage principal de ce produit, c'est de pouvoir enlever le disque dur une fois que votre activité informatique est terminée. Sans disque dur, le pc n'a plus d'intérêt pour un vol d'information.
Un autre avantage si vous utilisez 2 pc dans 2 endroits différents (maison, boulot), c'est de pouvoir disposer de tous vos documents sans vous compliquer la vie

Il existe une multitude de racks dans le commerce, si vous choisissez cette solution, préférez en un qui propose des options de sécurité (éjection impossible tant que le tâches est en fonctionnement par exemple), n'oubliez pas la qualité des matériaux, car il sera mis à rude épreuve si vous êtes amené à l'extraire plusieurs fois par semaine.

N'oubliez pas d'enlever le disque amovible en partant, sinon, cela n'aurait aucun intérêt de protection.


L'outil Syskey

Nous venons de voir la partie protection de la machine, passons à la protection du système

Windows met à votre disposition depuis les versions NT, un utilitaire de démarrage du système, "SYSKEY"
Pour s'en servir, il suffit d'aller dans Executer et taper : syskey

La commande SYSKEY permet de configurer le système pour que le mot de passe soit crypté avec un algorithme de 128-Bits. Il existe 3 modes de fonctionnement :
1 - Auto Boot : le système génère une clé de cryptage interne broullée et la conserve sur le système.
2 - Floppy Boot : le système génère une clé complexe, aléatoire et la conserve sur une disquette.
3 - Password Boot : l'administrateur choisit un mot de passe qui est choisi pour la base de la clé de cryptage necessaire pour lancer le système.

Seul le choix 2 nous intéresse ici: c'est à dire, la disquette au démarrage
Sur cet écran, choisissez l'option "Mettre à jour"


Choisissez les 2 options :
- Mot de passe généré par le système
- Enregistre la clé de démarrage sur une disquette
et cliquez sur OK


Insérez une disquette vierge dans votre lecteur


Et voilà, maintenant, à chaque démarrage du système, vous serez obligé d'inserer la disquette afin d'accéder à vos sessions, le lecteur de disquette devient une serrure

Cette solution a des avantages et des inconvénients, effectivement, c'est pratique parce qu'on bloque le démarrage, que le cryptage ne se trouve que sur la disquette et non pas dans la base de registre, mais les inconvénients sont aussi nombreux :
- altération de la disquette
- perte de la disquette
- ne pas laisser traîner la disquette près du pc
- pas d'autre possibilité de support (type USB, par exemple)
- obligation de laisser l'option de démarrage Floppy dans le BIOS



Protection du système en fonctionnement

Votre PC est toujours allumé, il suffit de quelques minutes d'absence pour qu'une personne puisse faire n'importe quoi dans votre système d'exploitation !
Sur ce sujet il y a beaucoup à faire, quelques options bien choisies améliorent considérablement la sécurité de vos données, je ne vais pas reprendre tous les articles déja écrits sur ces sujets, mais un petit rappel s'impose.

Bloquez les accès au système

En cas d'absence, que choisir ?

- l'écran de veille,
- fermer la session,
- verrouiller la session,
Quelle que soit la réponse il est important que vous ayez défini un mot de passe pour interdire l'accès et ceci sur tous les comptes existant sur le système d'exploitation ( effectivement, pas la peine de mettre un mot de passe sur votre session si le compte administrateur n'en a pas)

Un petit tour sur ce sujet Option d'ouverture de session devrait vous permettre de faire votre choix.
Si vous avez un travail en cours pendant votre absence, il est préférable de verrouiller la session, plutôt que de la fermer.

Maintenant, si vous partez quelques heures, il serait préférable de fermer la session, mais là ce n'est que votre choix

Mettre un mot de passe

Ce sujet est tellement important que j'ai décidé d'y consacrer un article entier :
Les mots de passe

Votre ordinateur est partagé

Partager son ordinateur ne signifie pas autant de tout partager !
Effectivement, c'est le but des sessions, vous êtes plusieurs à la maison, chacun sa session, chacun ses documents personnels, etc... Malheureusement, ce n'est pas le cas, Windows aime bien partager vos documents (sauf son pognon!!!)
Par défaut Windows propose le partage simple des dossiers, il est important d'interdire ces partages, le sujet est déja abordé sur cette page : Interdire les partages, je vous le laisse découvrir si ce n'est pas déjà fait -;)

Cryptez vos données confidentielles

Vous partagez votre pc avec d'autres personnes, certaines données confidentielles peuvent être protégées, c'est là qu'intervient le cryptage, et oui, même en désactivant les partages, si le compte a des pouvoirs administrateur, il est tout à fait possible de voir les dossiers des autres sessions, c'est un peu l'inconvéniant de Windows, la sécurité n'est pas son fort!

Par défaut, seul Windows XP Pro implémente le cryptage des données (EFS), vous pouvez lire cet article sur les restrictions et le cryptage
Heureusement, pour les non possesseurs d'XP Pro, il existe d'autres alternatives que celles de Microsoft, en voici quelques exemples :

- Folder Access que vous trouverez sur ce site : http://www.folderaccess.com/


La version gratuite permet de protéger 4 dossiers de votre choix

- Lock Folder XP que vous trouverez sur ce site : http://www.everstrike.com/lock_folder.htm


Cette version shareware vous donne droit à 30 jours d'essai.

Cette liste n'est pas exhausive, une recherche sur google vous permettra de trouver votre bonheur.

Voila pour aujourd'hui, j'ai fini de vous embrouiller la tête, la sécurité est un domaine infini, mais si vous appliquez quelques-unes de ces mesures à titre personnel, votre protection n'en sera que meilleure.
Le sujet n'est pas clos, il est possible que je rajoute quelques lignes à l'occasion sur cet article... A savoir, l'accès aux périphériques, à la base de registre, le panneau de configuration, etc.. qui pour l'instant ne sont pas mentionnés et qui font partie de la sécurité de votre système d'exploitation Windows.

Conclusion

L'objectif de cet article, c'est une démarche de sécurité physique sur l'ordinateur face à son environnement, pas simple de concentrer ce sujet en quelques phrases, j'espère néamoins avoir touché du doigt les points sensibles de la sécurité à ce niveau là. Hormis quelques points bien précis, le sujet s'adresse à tout le monde quel que soit son système d'exploitation.

Si je fais un bilan de sécurité, en lisant cet article, je vous oblige au minimum à créer 2 mots de passe distincts afin d'accéder à vos données. Est-ce le prix d'un effort sur-humain pour éviter les déboires, à vous de le décider !

Vous l'aurez compris, sécuriser son matériel ou son système demande des contraintes supplémentaires, quelques configurations simples et efficaces rebutent la plupart du temps les mauvaises intentions. La sécurité, c'est un aspect global, tout s'imbrique l'un dans l'autre, le plus difficile étant de concilier le confort d'utilisation et l'aspect restriction, la démarche n'est pas simple et se trouve en perpétuelle évolution.

A bientôt pour d'autres aventures informatique




Tesgaz le : 24/09/2005

- Article suivant : Les mots de passe

- Retour : la sécurité

- Haut de page -




Création SpeedWeb - Articles originaux Tesgaz
- 2004/2005 - Copyleft Attitude - Site hébergé par free.fr